Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-49247
Wysokie

Podatność w Jellyfin od wersji 10.9.0 do 10.11.9 umożliwia uwierzytelnionym użytkownikom niebędącym administratorami zapisanie dowolnych plików na serwerze poprzez manipulację polem Client w nagłówku Authorization. Atakujący może użyć sekwencji ../ w tym polu, aby nadpisać pliki w dowolnych lokalizacjach dostępnych dla usługi Jellyfin, z wymuszonym rozszerzeniem .log.

CVE-2026-48793
Wysokie

Podatność w Jellyfin przed wersją 10.11.10 umożliwia wstrzyknięcie argumentów do FFmpeg przez specjalnie spreparowaną nazwę pliku napisów. Atakujący bez uwierzytelnienia może wykorzystać brak normalizacji ścieżki w SubtitleEncoder, co prowadzi do zapisu dowolnych plików na serwerze i ujawnienia informacji.

CVE-2026-13038
Wysokie

Wykorzystanie po zwolnieniu pamięci w funkcji Autofill w Google Chrome na systemie Windows przed wersją 149.0.7827.197 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą spreparowanej strony HTML.

CVE-2026-13037
Wysokie

Wykorzystanie po zwolnieniu pamięci w WebView w Google Chrome na Androidzie przed wersją 149.0.7827.197 umożliwia lokalnemu atakującemu wykonanie dowolnego kodu w obrębie piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-13036
Wysokie

Wykorzystanie po zwolnieniu pamięci w Blink w Google Chrome przed wersją 149.0.7827.197 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu wewnątrz piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-13035
Wysokie

Wykorzystanie po zwolnieniu pamięci w Bluetooth w Google Chrome na Macu przed wersją 149.0.7827.197 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą złośliwego urządzenia peryferyjnego.

CVE-2026-13033
Wysokie

W Google Chrome przed wersją 149.0.7827.197 występowała podatność na odczyt i zapis poza dozwolonym zakresem w Blink>InterestGroups, co pozwalało zdalnemu atakującemu na wykonanie dowolnego kodu za pomocą spreparowanej strony HTML.

CVE-2026-13031
Wysokie

Wykorzystanie po zwolnieniu pamięci w Blink w Google Chrome przed wersją 149.0.7827.197 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu wewnątrz piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-13029
Wysokie

W Google Chrome przed wersją 149.0.7827.197 wystąpiła podatność typu use after free w mechanizmie uwierzytelniania internetowego, która mogła zostać wykorzystana przez atakującego, który przekonał użytkownika do zainstalowania złośliwego rozszerzenia. Atakujący mógł potencjalnie wykorzystać uszkodzenie sterty za pomocą spreparowanego rozszerzenia Chrome.

CVE-2026-13027
Wysokie

Podatność Use-After-Free w komponencie FileSystem w przeglądarce Google Chrome przed wersją 149.0.7827.197 umożliwiała zdalnemu atakującemu potencjalne wykorzystanie uszkodzenia sterty poprzez spreparowaną stronę HTML. Problem został sklasyfikowany jako wysokiego ryzyka (High) w skali Chromium.

CVE-2026-13026
Wysokie

Podatność Use-After-Free w komponencie Digital Credentials w przeglądarce Google Chrome na systemie Mac przed wersją 149.0.7827.197 umożliwiała zdalnemu atakującemu potencjalne wykorzystanie uszkodzenia sterty za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako wysokiego ryzyka (High) w ramach Chromium.

CVE-2026-13025
Wysokie

Podatność w DevTools w przeglądarce Google Chrome przed wersją 149.0.7827.197 umożliwia zdalnemu atakującemu, który skompromitował proces renderowania, potencjalną ucieczkę z piaskownicy za pomocą spreparowanej strony HTML. Problem wynika z wyścigu (race condition) w DevTools.

CVE-2026-54699
Wysokie

Warp, środowisko deweloperskie, zawiera podatność na wstrzyknięcie poleceń systemowych w mechanizmie otwierania URL-i w WSL. Wersje od 0.2024.03.12.08.02.stable_01 do 0.2026.05.06.15.42.stable_01 są narażone, gdy Warp nie może otworzyć URL-a przez wslview i korzysta z alternatywnej ścieżki procesora poleceń Windows.

CVE-2026-49851
Wysokie

Mistune to parser Markdown w Pythonie. Przed wersją 3.3.0 jest podatny na atak DoS polegający na wyczerpaniu zasobów CPU z powodu kwadratowej złożoności obliczeniowej w funkcji parse_link_text. Wprowadzenie wielu kolejnych znaków [ w treści Markdown powoduje wielokrotne skanowanie wejścia, co prowadzi do nadmiernego obciążenia procesora nawet przy małym ładunku.

CVE-2026-48732
WysokieEPSS 59%

Warp zawiera problem z wstrzyknięciem poleceń w ścieżce poleceń tła SSH w wersjach od 0.2023.03.21.08.02.stable_00 do 0.2026.05.06.15.42.stable_01. Atakujący może wykorzystać zdalny katalog, aby wykonać dodatkową składnię powłoki na zdalnym hoście jako uwierzytelnione konto SSH ofiary.

CVE-2026-48731
Wysokie

Warp, środowisko deweloperskie, zawiera problem z wstrzykiwaniem poleceń w zewnętrznym edytorze na systemie Linux. Wersje od 0.2024.02.20.08.01.stable_01 do 0.2026.05.06.15.42.stable_01 umożliwiają wykonanie złośliwego kodu przez otwarcie pliku kontrolowanego przez atakującego.

CVE-2026-48725
Wysokie

Warp to środowisko deweloperskie, które w wersjach od 0.2021.04.25.23.05.stable_00 do 0.2026.05.06.15.42.stable_01 pozwala na dostęp do lokalnego schowka systemowego z terminala. Złośliwy zdalny host lub inny kontrolowany przez atakującego źródło wyjścia terminala mogą wywołać odczyty lub zapisy do schowka bez dodatkowego potwierdzenia.

CVE-2026-48721
Wysokie

Warp to środowisko deweloperskie, które zawiera lukę umożliwiającą obejście sprawdzania uprawnień do wykonywania poleceń w domyślnym profilu CLI bez piaskownicy. Luka ta pozwala atakującemu na traktowanie poleceń z listy zakazanej jako dozwolonych.

CVE-2026-48720
Wysokie

Warp to środowisko deweloperskie, które w wersjach od 0.2025.03.05.08.02.stable_00 do 0.2026.05.06.15.42.stable_01 akceptuje ładunki `OSC 1337;File` z wyjścia terminala i tworzy lokalny plik bez dodatkowego potwierdzenia. Ta podatność została naprawiona w wersji 0.2026.05.06.15.42.stable_01.

CVE-2026-48719
WysokieEPSS 57%

Warp, środowisko deweloperskie, zawiera podatność na wstrzykiwanie poleceń w selektorze gałęzi. Użytkownik, który może publikować gałęzie w repozytorium Git otwartym w Warp, może spowodować, że złośliwa nazwa gałęzi zostanie zinterpretowana przez powłokę ofiary, jeśli ofiara wybierze tę gałąź z interfejsu użytkownika.

PoprzedniaStrona 80 z 3356Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS